物联网梦/第7章：物联网与安全

物联网安全介绍

物联网 (IoT) 可以描述为各种唯一标识的独立和嵌入式计算设备之间的互连，这些设备可以在网络上自动传输数据。物联网有可能通过允许虚拟环境、对象和数据相互连接，让人们以更高的效率生活，从而使人们的生活更加轻松。然而，随着物联网设备数量的增加，这些系统为用户提供高水平安全性的挑战也越来越大。物联网网络的管理考虑了不同的优先级，每个网络都有不同的安全需求。IT 网络的优先级是保护数据机密性。物联网网络的重点是物理安全和安全访问，以确保正常和安全的运行。因此，在实现“智能”生活时，必须解决几个安全问题。

网络层安全

通常，物联网的网络层安全通常涉及针对资源受限的传感应用和设备的安全机制，这些应用和设备通过其与互联网的集成提供了重要贡献。在这种情况下，我们针对网络层与使用标准 IPv6 协议的传感设备（智能对象）的通信安全机制的设计和实验评估。虽然可以肯定的是，并非所有物联网上的智能对象都将具有或需要支持 IPv6，但网络层上与其他传感设备或与互联网主机之间的安全端到端通信的可用性可能实现更丰富的传感应用与互联网的集成。它还可以启用新型传感应用程序，在这些应用程序中，智能对象能够使用互联网通信远程安全地协作。^[1]

网络层安全与传输层安全之间存在差异。两者都是通用的，这意味着它们独立于层工作。在网络层，IPsec 并非特定于 TCP、UDP 和 IP 之上的其他协议。这使得 IPsec 更灵活，并且能够在更高层运行，因为它对最终用户和应用程序而言是透明的，通过所谓的“全面覆盖”。因此，当在防火墙或路由器上实施 IPsec 时，我们无需更改用户或服务器系统上的软件。我们也不需要培训用户，也不需要为每个用户提供密钥材料，或者在用户离开组织时撤销密钥材料。在传输层，TLS（传输层安全）适用于其 HTTP、FTP 和 SMTP 的应用程序，但不适用于 TCP。^[2]

保护 TCP 连接

TCP/IP（传输控制协议/互联网协议）是所有类型计算机相互通信的常用方式。TCP/IP 应用程序在整个“信息高速公路”中是众所周知的，并且被广泛使用。TCP 与互联网协议 (IP) 协同工作，IP 定义了计算机如何将数据包相互发送。TCP 和 IP 共同构成了定义互联网的基本规则。

使用数据包规则保护 TCP/IP 流量

数据包规则代表 IP 过滤和网络地址转换 (NAT) 的组合，充当防火墙以保护内部网络免受入侵者攻击。IP 过滤控制允许进入和离开网络的 IP 流量。基本上，它通过根据它定义的规则过滤数据包来保护网络。另一方面，NAT 被允许将未注册的私有 IP 地址隐藏在已注册的 IP 地址集中。这有助于保护内部网络免受外部网络的攻击。NAT 还帮助缓解 IP 地址枯竭问题，因为许多私有地址可以用一组较小的已注册地址表示。^[3]

SSL 和 TCP/IP

安全套接字层 (SSL) 和传输层安全 (TLS) 是当今使用最广泛的安全协议。它本质上是一个协议，它在通过互联网或内部网络运行的两台机器之间提供一个安全通道。在当今以互联网为中心的时代，当 Web 浏览器需要通过本质上不安全的互联网安全地连接到 Web 服务器时，通常会使用 SSL 协议。

从技术上讲，SSL 是一种透明协议，在建立安全会话时需要很少的最终用户交互。例如，在浏览器的情况下，用户会在浏览器显示挂锁时被提醒 SSL 的存在，或者在扩展验证 SSL 的情况下，当地址栏同时显示挂锁和绿色条时，用户会被提醒 SSL 的存在。这是 SSL 成功的主要关键，因为它对最终用户来说是一种非常简单的体验。^[4]

使用 SSL 的示例应用程序：“Toy SSL”，一个简单的安全通道原则

握手：Alice 和 Bob 使用他们的证书和私钥相互认证并交换共享密钥
密钥推导：Alice 和 Bob 使用共享密钥来推导出密钥集
数据传输：要传输的数据被分成一系列记录
连接关闭：用于安全关闭连接的特殊消息

WLAN 安全

无线局域网 (WLAN) 在许多行业中使用。WLAN 仍然很流行，因为它具有许多优势，包括

安装灵活；
移动性；
降低拥有成本；
可扩展性；以及
易于安装。

但是，无论这些好处如何，WLAN 都有其安全问题。为了保护 WLAN 免受拒绝服务 (DoS)、欺骗和会话劫持以及窃听等威胁，应使用有线等效隐私。^[5]^[6]

有线等效隐私

有线等效隐私（WEP）是一种用于无线网络的标准加密类型。它是一种来自 IEEE 802.11 的用户身份验证和数据加密系统，用于消除安全威胁。基本上，WEP 通过对无线传输的信息进行加密来为 WLAN 提供安全性，因此只有拥有正确加密密钥的接收者才能解密信息。

WEP 的工作原理

WEP 利用一个称为“基本密钥”的密钥，该密钥包含 RC4 加密算法和 CRC-32（循环冗余校验）校验和算法作为其基本构建块。^[7] WEP 试图以一种非常简单的方式实现其安全性：它在 MAC 协议数据单元 (MPDU) 上运行，即 802.11 数据包片段。为了提供 MPDU 中数据的安全性，WEP 首先计算 MPDU 数据的完整性校验值 (ICV)。此值是数据的 CRC-32。WEP 将 ICV 添加到数据的末尾，使该字段扩展 4 个字节。借助 ICV，接收器能够检测到广播期间数据的完全伪造和更改。接下来，WEP 选择一个基本密钥和一个初始化向量 (IV)，这是一个 24 位的值。WEP 通过组合 IV 值和所选的基本密钥来确定每个数据包的 RC4 密钥。然后，WEP 使用每个数据包的密钥对 RC4 进行加密，并加密数据和 ICV。^[8]

保护 WLAN 的工具

AirDefense：这是一种 WLAN 入侵防御和管理系统，它可以检测网络漏洞，检测并保护 WLAN 免受入侵者和攻击，并支持 WLAN 的管理。

Isomair Wireless Sentry：它会观察空中空间以识别不安全的接入点 (AP)、安全威胁和无线网络问题。Isomair Wireless Sentry 正在使用智能传送引擎 (ICE) 被动地观察无线网络的威胁，并在发生威胁时通知安全管理员。这是一个完全自动化的系统，并且集中管理。^[9]

防火墙和入侵检测系统

物联网是我们生活中全球化的体现。从智能冰箱到智能服装，物联网设备承诺使我们的日常生活更加实用，但操作安全是最关心的问题。操作安全涉及流程的分析部分，并区分信息资产。它还控制在网络世界中进行各自旅程的资产或数据。有两种广为人知的操作安全类型：防火墙和入侵检测系统。两者都旨在防止未经授权的访问计算机网络。

在此任务中，防火墙为智能设备提供了一个简单有效的安全层。工程师构建了此安全系统以防止我们的数据因未经授权的访问而被损坏或丢失。闸门设计通常用于通过防火墙保护智能设备。它具有占地面积小和 CPU 处理能力低的特点。它提供静态过滤、基于阈值的过滤和 SPI，以保护嵌入式设备免受互联网威胁。即使智能设备通过加密和身份验证来保护，但由于它们使用无线系统，它们仍然会受到外部攻击的暴露。^[10]

入侵检测系统 (IDS) 对于智能设备来说是必要的，可以防止来自 6lowPAN 网络（IPV6 over low power wireless personal area network）内部或互联网的入侵。例如，Raza 等人讨论了旨在保护物联网系统免受攻击、利用伪造或更改的信息进行路由攻击、陷井和选择性转发的 SVELTE。它们的原型功能并非 100%，但前景光明。该产品体积小巧，可以为能量供应和内存容量有限的设备带来益处。^[11]

结论

物联网对公众和企业都有巨大的潜力，但它并非没有风险，需要大量的思考、计划和行动。信息安全组织必须开始准备从保护 PC、服务器、移动设备和传统 IT 基础设施过渡到管理更广泛的互联项目，包括可穿戴设备、传感器和技术。因此，网络安全团队应主动寻找最佳实践来保护这些新兴设备，并准备好随着这些设备进入企业网络来更新风险问题和安全策略。

参考文献

↑ Granjal, J.; Monteiro, E.; Silva, J.S. (2014). "网络层安全性：使用 TinyOS 和 BLIP 实现物联网". 国际通信系统杂志. 27 (10): 1938–1963. doi:10.1002/dac.2444.{{cite journal}}: CS1 维护：多名：作者列表 (链接)
↑ Grau, A. (2013 年 3 月 21 日). "“物联网也需要防火墙”". 电子设计. Penton. 检索于 2016 年 6 月 7 日.
↑ Rashid, F.Y. (2014 年 11 月 5 日). "“如何保护你的物联网”". PC 杂志. Ziff Davis, LLC. 检索于 2016 年 6 月 7 日.
↑ 通信与外部关系部 (2013 年 6 月 4 日). "“为未来互联网提供安全的通信”". 梅拉达伦大学. 检索于 2016 年 6 月 7 日.
↑ Kurose, J.F.; Ross, K.W. (2012). 计算机网络：自顶向下方法 (第 6 版). Pearson. 第 864 页. ISBN 9780132856201.{{cite book}}: CS1 维护：多名：作者列表 (链接)
↑ Leduc, G. (2016). "第 5 章：网络层安全性". 管理和保护计算机网络 (PDF). 列日大学. 第 62 页.
↑ Reno, J. (2013). "物联网的安全". CA Technologies. 检索于 2016 年 6 月 7 日.
↑ Happich, J. (2013 年 9 月 22 日). "低占用空间的软件防火墙保护物联网设备". EDN 网络. UBM. 检索于 2016 年 6 月 7 日.
↑ Biskup, J. (2009). 计算机系统安全：挑战、方法和解决方案. 施普林格出版社柏林海德堡. 第 694 页. ISBN 9783642097195.
↑ "防火墙（计算）". 维基媒体基金会. 检索于 2016 年 6 月 7 日.
↑ Raza, S.; Wallgren, L.; Voigt, T. (2013). "SVELTE：物联网中的实时入侵检测". 自组织网络. 11 (8). doi:10.1016/j.adhoc.2013.04.014.{{cite journal}}: CS1 维护: 多个名称: 作者列表 (链接)

[GranjalNet14-1] Granjal, J.; Monteiro, E.; Silva, J.S. (2014). "网络层安全性：使用 TinyOS 和 BLIP 实现物联网". 国际通信系统杂志. 27 (10): 1938–1963. doi:10.1002/dac.2444.{{cite journal}}: CS1 维护：多名：作者列表 (链接)

[GrauTheInt13-2] Grau, A. (2013 年 3 月 21 日). "“物联网也需要防火墙”". 电子设计. Penton. 检索于 2016 年 6 月 7 日.

[RashidHowTo14-3] Rashid, F.Y. (2014 年 11 月 5 日). "“如何保护你的物联网”". PC 杂志. Ziff Davis, LLC. 检索于 2016 年 6 月 7 日.

[DivisionEnables13-4] 通信与外部关系部 (2013 年 6 月 4 日). "“为未来互联网提供安全的通信”". 梅拉达伦大学. 检索于 2016 年 6 月 7 日.

[KuroseComp12-5] Kurose, J.F.; Ross, K.W. (2012). 计算机网络：自顶向下方法 (第 6 版). Pearson. 第 864 页. ISBN 9780132856201.{{cite book}}: CS1 维护：多名：作者列表 (链接)

[LeducNet16-6] Leduc, G. (2016). "第 5 章：网络层安全性". 管理和保护计算机网络 (PDF). 列日大学. 第 62 页.

[RenoSec13-7] Reno, J. (2013). "物联网的安全". CA Technologies. 检索于 2016 年 6 月 7 日.

[HappichLow13-8] Happich, J. (2013 年 9 月 22 日). "低占用空间的软件防火墙保护物联网设备". EDN 网络. UBM. 检索于 2016 年 6 月 7 日.

[BiskupSec09-9] Biskup, J. (2009). 计算机系统安全：挑战、方法和解决方案. 施普林格出版社柏林海德堡. 第 694 页. ISBN 9783642097195.

[WPFirewall-10] "防火墙（计算）". 维基媒体基金会. 检索于 2016 年 6 月 7 日.

[RazaSVELTE13-11] Raza, S.; Wallgren, L.; Voigt, T. (2013). "SVELTE：物联网中的实时入侵检测". 自组织网络. 11 (8). doi:10.1016/j.adhoc.2013.04.014.{{cite journal}}: CS1 维护: 多个名称: 作者列表 (链接)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]